エンドポイントセキュリティとは?必要性とゼロトラストの実現方法
目次
エンドポイントセキュリティは、ネットワーク末端に接続されるPCやスマホなどのエンドポイントに対するセキュリティ施策です。テレワーク導入で業務デバイスの種類や場所が多様化する中、情報資産・ビジネスを守るためにエンドポイントセキュリティの導入を検討している方もいるのではないでしょうか。
そこでこの記事では、ゼロトラストの要素としてのエンドポイントセキュリティの考え方や必要性、具体的なソリューションとゼロトラストを実現する要件について紹介します。
エンドポイントセキュリティとゼロトラストの関係とは?
エンドポイントセキュリティは、ネットワーク末端に接続されたスマホ・PCなどのエンドポイントに対するセキュリティ施策です。ゼロトラストに基づき、ネットワーク経由のサイバー攻撃だけではなく、内部犯も想定して対策します。
まずはエンドポイントの意味や、エンドポイントセキュリティとゼロトラストの関係を見ていきましょう。
エンドポイントはネットワーク末端のデバイス
エンドポイント(Endpoint)とは、端点・終点・末端などを意味する語で、IT領域では通信ネットワークの末端に接続されたデバイスを指すことが一般的です。例えばPC・タブレット・スマホやプリンター・複合機などのOA機器、ネットワークカメラ・センサー・ドローンなどのIoT機器や各種サーバなどです。
従来はオフィス内に設置されたデスクトップPC・サーバ・OA機器などに限られましたが、近年は働き方やデバイス・クラウドサービスの多様化などを受け、エンドポイントの種類や接続場所が増えている状況です。
エンドポイントの対義語はノード・リンクや顧客構内設備
エンドポイントの対義語として使われるのは、ノード(Node/結節点)やリンク(Link)、顧客構内設備(CPE/Customer Premises Equipment)です。
ノードはネットワークの網目構造を構成する個々の機器を指し、ノードを結び付ける線やつながりをリンクと呼びます。厳密にはコンピュータもネットワークの結節点ですが、ノードにはルーターやスイッチなども含み、リンクはそれらを結ぶLANケーブル・光ファイバーケーブルやWi-Fiなどです。
顧客構内設備はユーザーの敷地内において「ネットワーク機能を提供する設備」を指し、ルーター・スイッチ・ファイアウォール・ロードバランサーなどを指します。こちらはエンドポイントを含みません。
内部犯も想定したエンドポイントセキュリティ
エンドポイントセキュリティは、ネットワークの中継機器ではなくエンドポイントに対して実施する保護施策です。ネットワーク接続する全てのエンドポイントを対象に、あらゆる被害や情報漏えいを想定したセキュリティ対策を施します。
サイバー攻撃あるいはマルウェア感染など、エンドポイントを狙ったネットワーク外からの被害だけでなく、内部犯や機器乗っ取りによるネットワーク内からの攻撃も想定し、監視・対処をするセキュリティ施策です。
ゼロトラストの重要施策となるエンドポイントセキュリティ
「ゼロトラスト」のコンセプトを実現するためにも、エンドポイントセキュリティは重要な施策です。ゼロトラスト(Zero trust)とは、ネットワークの内外を明確に区別する「境界」の概念を排除し、全ての要素を信頼せず検証するセキュリティモデルを指します。
従来の境界型防御(ペリメータセキュリティ/ゲートウェイセキュリティ)は、「脅威はネットワーク外からやってくるもの」という発想に基づくセキュリティ施策です。これに対しゼロトラストは、たとえ認証済みであっても全ての機器・ソフトウェア・人を無限定に信頼しません。常に潜在的な脅威があるという前提に立ち、セキュリティ対策を施します。
【関連記事:ゼロトラストとは?クラウド時代のセキュリティ対策をわかりやすく解説】
エンドポイントセキュリティが重視される背景
エンドポイントセキュリティが重視される背景には、テレワークの普及やクラウドサービスの利用拡大、エンドポイントを狙ったサイバー攻撃の増加と標的型攻撃の高度化を挙げられます。ゼロトラストに基づくエンドポイントセキュリティの必要性をよりクリアに理解しましょう。
エンドポイントの多様化と社外への拡大
エンドポイントセキュリティが重視される背景のひとつは、エンドポイントが多様化し、社外へ拡大していることです。働き方改革や新型コロナウイルス感染症の影響を受けたテレワークの普及により、業務デバイスを利用する場所がオフィス外に拡大するとともに、私用のノートPCやスマホなどを業務利用(BYOD)するケースも増えています。
クラウドサービスの利用拡大により、場所・時間や接続デバイスの種類によらずネットワークに接続することも増えました。こうした変化により、従来の境界型防御が意味をなさなくなっています。
【関連記事:BYODとは?メリット・デメリットや導入時の環境整備を分かりやすく解説】
エンドポイントの「情報」を狙うサイバー攻撃の増加
サイバー攻撃の手口が変化し、エンドポイントに保存された「情報」が標的となっていることも懸念点です。従来のサイバー攻撃は大量のパケットを送り付けてサービス停止に追い込むDDoS攻撃などが主流で、「攻撃を受けたことが分かりやすい」という特徴がありました。
しかし近年は攻撃対象を絞って個別に情報窃取するタイプの攻撃が増え、マルウェア感染や情報漏えいなどの事実にユーザー側が気付きにくくなっています。つまり、エンドポイントの情報漏えい対策が必要性を増している状況です。
エンドポイントを「踏み台」とするサイバー攻撃の増加
サイバー攻撃の経路が多様化していることも懸念点です。以前はオフィスやデータセンターなどをインターネット経由で狙うサイバー攻撃が主流で、不正アクセスやマルウェア感染などの経路が分かりやすく、境界型防御が効果的でした。
ところが近年は、まず社外で利用するPC・スマホやUSBメモリなどマルウェア感染させ、それらを社内ネットワークに接続した際に感染爆発を起こすことを狙うなど、「エンドポイントを踏み台として内部から標的を攻撃する」タイプの手口が目立ちます。この種のサイバー攻撃には、境界型防御では対応できません。
攻撃手法をオーダーメイドする標的型攻撃の高度化
ニュースにも取り上げられるような「悪名高いマルウェア」は、対策方法が共有化され、アンチウイルスソフトなどによる対処も比較的容易です。しかし特定の組織に狙いを定めて弱点を事前調査し、対象システムに合わせてオーダーメイドされたマルウェアを侵入させる「標的型攻撃」が高度化しています。
このような攻撃は検知と対処が難しく、さらに侵入や活動の痕跡を自ら消去したり、システムに長期間潜伏して情報窃取を繰り返したりするケースも珍しくありません。
【関連記事:サイバー攻撃の目的や種類とは?脅威とセキュリティ対策をわかりやすく解説】
エンドポイントセキュリティの具体的なソリューション
ゼロトラストに基づくエンドポイントセキュリティには、従来型のアンチウイルスソフト(EPP)では対応できません。代わりにNGAVやEDRの採用が増えています。またDLPも著名なセキュリティソリューションです。ここでは、エンドポイントセキュリティの具体的なソリューションを見ていきましょう。
EPP(Endpoint Protection Platform)
EPPとは、PCやサーバなどのエンドポイントを、マルウェア感染から守るためのセキュリティソリューションです。多くの場合、アンチウイルスソフトを指します。
一般的なマルウェア検知法は「パターンマッチング法」です。既知のマルウェアの特徴(シグネチャコード)を登録したデータベース(パターンファイル/ウイルス定義ファイル)を随時更新し、特徴の一致する実行ファイルなどをしらみつぶしに調べます。
パターンマッチング法は既知のマルウェアの検知に特化するため、未知のマルウェアには対応できません。ゼロトラストに基づくエンドポイントセキュリティの観点からすると、信頼性が低いセキュリティソリューションといえます。
NGAV(Next-Generation Antivirus)
NGAV(次世代アンチウイルス)はEPPの一種です。以下のような手法を組み合わせ、パターンマッチング法が苦手とする新種や亜種のマルウェアに対応します。
・静的ヒューリスティック法:既知のマルウェアのシグネチャコードを登録し、似た挙動を示すコードを疑わしいと判断
・動的ヒューリスティック法(ビヘイビア法/振る舞い検知):サンドボックス(外部から隔離された領域)内で疑わしいプログラムを実行
・AI/機械学習:「マルウェアらしさ」を学習したAIが未知の脅威を予測・検知
EDR(Endpoint Detection and Response)
EDRとは、エンドポイントを常時監視し、不審な挙動を検知・記録して管理者に通報するセキュリティソリューションです。EDRはエンドポイント上でアプリの振る舞いやデータ送受信などを監視し、サイバー攻撃の疑いがある挙動を察知すると管理者に通報します。結果、管理者は当該デバイスの隔離や被害拡大状況などを素早く行えます。
このように、EDRはマルウェアの活動を未然に防ぐNGAVとは異なり、事後対策を主眼としたシステムです。「マルウェアの侵入は防げない」という前提に立ち、侵入検知後の素早い復旧を目的とします。
DLP(Data Loss Prevention/Data Leak Protection)
DLP(データ損失防止)とは、機密情報の漏えいを防止・阻止するセキュリティソリューションです。機密情報として特定したデータのみに着目し、エンドポイントやネットワーク上のデータをスキャンして、機密情報の動きを追跡します。
外部からの侵入・攻撃だけでなく、内部の正規ユーザーによるUSBメモリへのコピーやメール送信なども監視対象とします。不正検出時には、アラートを出したり操作をキャンセルしたりする仕組みです。機密情報のみを監視対象とすることで、導入先システムへの負担も抑えられます。
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
ゼロトラストを実現する4つの要件
ゼロトラストを実現するには、エンドポイントセキュリティだけでなく、ネットワークセキュリティ・クラウドセキュリティやセキュリティ監視・運用の取り組みも求められます。
エンドポイントにフォーカスするだけでは不十分なため、「あらゆる要素を信用しない」という前提に立ち、複合的なセキュリティ対策を講じることが重要です。
エンドポイントセキュリティの要件
エンドポイントセキュリティに求められる要件は、NGAV・EDR・DLPなどによってエンドポイントの挙動を常時監視し、セキュリティインシデントを予防・早期発見することです。
また社内セキュリティポリシーに沿ってデバイスの設定や使用アプリの種類などを一元的に管理したり、私物デバイスの業務利用範囲を制御したりする取り組みも求められます。
ネットワークセキュリティの要件
ネットワークセキュリティに求められる要件は、エンドポイントからのネットワーク接続を制御することです。テレワークの普及に伴い、社内ネットワークへの接続にVPNを利用することが一般的化しましたが、同時にVPNサーバへのハッキングが急増しています。そこでVPNに代わるセキュアなネットワーク接続方法が必要です。
例えばZTNA(ゼロトラストネットワークアクセス)と呼ばれるリモートアクセス方法は、通信の都度デバイスの安全性を検査し、信用できる場合にだけアクセスを認証します。また、エンドポイントから通信事業者の閉域網へダイレクト接続する仕組みにより、インターネットを経由せずに社内ネットワークへ接続するサービスも利用可能です。
クラウドセキュリティの要件
クラウドセキュリティに求められる要件は、保護されるべき機密情報を整理し、アクセス権限を管理することです。クラウドサービスは場所・時間・デバイスを問わず利用できるため、サービス自体や機密情報へのアクセスを制御し、内部要因・外部要因どちらも監視対象とした情報漏えい対策が求められます。
複数クラウドサービスの利用状況をまとめて把握・管理ができるツールもありますが、まず重要なことは、利用するクラウドサービスのセキュリティ機能及び管理機能が「ゼロトラストモデルに対応可能か」どうかということです。
セキュリティ監視・運用の要件
セキュリティ監視・運用に求められる要件は、24時間365日体制で機密情報へのアクセスや疑わしい挙動を有人監視し、インシデント発生時の素早い対応で被害を最小化することです。
自社内で24時間365日の有人監視体制を持つことが難しい場合、外部のSOC(セキュリティオペレーションセンター)によるリモート監視を利用することもできます。また「マネージドサービス」に対応する通信サービスやクラウドサービスなら、本来のサービス提供に付随する導入・管理・運用などもトータルサポートが可能です。
ゼロトラスト対応のエンドポイントセキュリティ強化ならイッツコム!
イッツコムは容量無制限のゼロトラスト対応クラウドストレージ「Box」、エンドポイントのネットワーク通信を秘匿する「モバイル閉域接続」を提供しています。また閉域網接続を必要としないデータ通信には「法人データSIM」が有用です。
容量無制限のゼロトラスト対応クラウドストレージ「Box」
エンドポイントが多様化・拡大したビジネス環境においては、クラウドサービスを活用した情報共有は必須です。しかしサービス選定を誤ると、「誰がいつアクセスしたか分からない」「機密情報の追跡もできない」という状況になる恐れがあります。
そこで導入したいのが、容量無制限かつゼロトラストモデル対応のクラウドストレージ「Box」です。130種類以上のファイル形式のオンラインプレビューに対応し、専用アプリがなくてもBoxのアプリやブラウザ上でプレビューが可能です。
Officeファイルなどのオンライン共同編集にも対応しているため、ファイルをダウンロードする必要がありません。端末にデータを残さずファイル操作ができるBoxなら、「機密情報をエンドポイントに保存させない」運用が叶います。
1,500以上のアプリと連携して多種多様なビジネスツールのファイルを一元管理できる他、7段階のアクセス権限設定、70種類以上のログ監視によるアクティビティの追跡も可能です。また、多種多様なサードパーティ製セキュリティソリューションとの連携機能も備えています。
イッツコムは無料のユーザーサポートやカスタマーサクセス、有償の運用設計やデータ移行にも対応し、Boxの導入から運用までをトータルサポートいたします。
エンドポイントのネットワーク通信を秘匿する「モバイル閉域接続」
社外のエンドポイントから社内ネットワークへアクセスする際には、インターネットを経由することにより通信先IPアドレスの露呈やID・パスワード傍受に注意しなければなりません。また、社内に設置したVPNサーバがハッキングされる恐れもあります。
これらの問題は、イッツコムの「モバイル閉域接続」をエンドポイントに導入することで解決できます。PCやスマホに専用SIMを挿入するだけで、NTTドコモ網・イッツコム網による閉域網を経由し、社内LANへダイレクト接続が可能です。インターネットを経由しないため、攻撃者は通信の存在自体を知り得ません。
専用SIMのみで経路判別する仕組み上、ユーザーはVPN設定不要で簡単接続でき、管理者は利用ID・パスワードの管理が不要です。また未登録のデバイスは利用できません。
インターネット接続の際は社内LANを経由するため、オフィス側で通信ログを取得でき、社内セキュリティポリシーを保持したネットワークセキュリティが叶います。
閉域網接続を必要としないデータ通信には「法人データSIM」
Boxなどの万全のセキュリティが担保されたクラウドサービスを利用し、社内LANへのアクセスが不要なビジネス環境もあるでしょう。また出張や工事現場・イベントなどの一時利用でモバイル回線が必要となる場合や、機密情報を取り扱わないIoT機器にデータ通信機能を持たせたいケースもあります。
こういったケースに最適なモバイルデータ通信サービスが、イッツコムの「法人データSIM」です。NTTドコモ回線を使用するため、NTTドコモのサービスエリア内ならどこからでも利用できます。SIMカードとモバイルWi-Fiルーターのセット契約もでき、私物デバイスのSIMカードをそのままに業務利用したいケースにも対応可能です。
もちろん、チームでの多台数接続にも対応できます。「シェアプラン」を選択すれば、複数SIMカードで通信容量をシェアできるため、SIM間で月間通信量にばらつきがあってもコストの無駄は生じません。
まとめ
エンドポイントセキュリティは、ネットワーク末端に接続されたスマホ・PCなどに対するセキュリティ施策です。テレワークの普及やサイバー攻撃の多様化・巧妙化などを受け、従来の境界型防御は意味をなさなくなっているため、ゼロトラストに基づく複合的なセキュリティ対策を講じましょう。
イッツコムが提供するゼロトラスト対応の容量無制限クラウドストレージ「Box」や、エンドポイントのネットワーク通信を秘匿する「モバイル閉域接続」を組み合わせれば、さまざまなセキュリティ上の懸念を払拭できます。また閉域網接続を必要としないデータ通信には、「法人データSIM」が対応できます。
ゼロトラストに基づくセキュリティ対策をお求めなら、ビジネススピードの加速と両立できるイッツコムにご相談ください。